Vom 23. bis 25. September 2008 findet die International Common Criteria Conference (ICCC) in Jeju, Korea statt. Die CCCT ist eine jährlich stattfindende Konferenz, die sich mit der technischen und praktischen Umsetzung der Common Criteria beschäftigt.
Die Common Criteria (CC) sind ein internationaler Standard für die Sicherheit von IT-Produkten und -systemen. Ziel der Common Criteria ist es dabei nicht, bestimmte Mindeststandards für IT-Produkte und -systeme vorzuschreiben, sondern vielmehr ein Verfahren zur Verfügung zu stellen, um zu überprüfen, ob die Produkte die vorgegebenen Sicherheitseigenschaften einhalten.
Die erste Version der CT wurde im April 1999 fertig gestellt. Grundlage für die CT war ein internationales Projekt, an dem neben Deutschland auch die USA, Kanada, Frankreich, Großbrittannien und die Niederlande beteiligt waren. Auf deutscher Seite hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) aktiv an der Ausarbeitung der CT mitgewirkt.
Die Common Criteria untergliedern sich in drei Teile.
Der erste Teil beinhaltet eine Einführung und Darstellung des allgemeinen Modells. Hier werden zunächst grundlegende Begriffe erläutert und der Geltungsbereich der CC bestimmt.
Teil 2 beschäftigt sich mit funktionellen Sicherheitsanforderungen. Er beinhaltet eine Standardliste von Sicherheitsfunktionen.
Teil 3 beschäftigt sich mit den Anforderungen an die Vertrauenswürdigkeit. Er sieht eine Skala von 7 Vertrauenswürdigkeitsstufen (Evaluation Assurance Level, EAL) vor, wobei die Position auf der Skala abhängig von der Tiefe der Untersuchungen ist. EAL 1 ist hierbei die niedrigste und EAL 7 die höchste Vertrauenswürdigkeitsstufe.
Obwohl die Common Criteria den Vorzug haben, Sicherheitsevaluationen auf internationaler Ebene vergleichbar zu machen, werden in der Praxis zahlreiche Einwände gegen ihre Anwendung vorgebracht. Da dieses Regelwerk es sich zum Ziel gesetzt hat, die unterschiedlichsten Anforderungen zu erfüllen, erweist sich die Umsetzung in der Praxis oft als extrem umständlich, zeit- und kostenintensiv. Ferner wird angeführt, dass durch das Regelwerk lediglich das Vorhandensein bestimmter Eigenschaften überprüft werden könne, jedoch keine Mindeststandards gesetzt würden. Damit garantierten die CC letztlich nicht, dass ein Produkt oder System auch wirklich sicher sei.